使用 Amazon Redshift 的可信身份传播

启用可信身份传播的步骤取决于您的用户是与托管应用程序交互还是与客户 AWS 托管的应用程序进行交互。下图显示了面向客户端的应用程序（无论是 AWS 托管的还是外部的）的可信身份传播配置，这些应用程序通过Amazon Redshift或授权服务（例如Amazon S3）提供的访问控制来查询 Amazon Redshift 数据。 AWS AWS Lake Formation Access Grants

使用 Amazon Redshift、Quick、Lake Formation 和 IAM 身份中心进行可信身份传播示意图

启用面向 Amazon Redshift 的可信身份传播后，Redshift 管理员可以将 Redshift 配置为自动创建角色（以 IAM Identity Center 作为身份提供者）、将 Redshift 角色映射到 IAM Identity Center 中的组，并使用 Redshift 基于角色的访问控制授予访问权限。

支持的面向客户端的应用程序

AWS 托管应用程序

以下面向客户的 AWS 托管应用程序支持向 Amazon Redshift 传播可信身份：

注意

如果您使用 Amazon Redshift Spectrum 访问 AWS Glue Data Catalog中的外部数据库或表，建议设置 Lake Formation 和 Amazon S3 Access Grants 以提供细粒度访问控制。

客户托管的应用程序

以下客户自主管理型应用程序支持面向 Amazon Redshift 的可信身份传播：

Tableau，包括 Tableau Desktop、Tableau Server 和 Tableau Prep
- 要为 Tableau 用户启用可信身份传播，请参阅《AWS 大数据博客》中的使用 IAM Identity Center 将 Tableau 和 Okta 与 Amazon Redshift 集成。
SQL 客户端（DBeaver 和 DBVisualizer）
- 要为 SQL 客户端（DBeaver 和 DBVisualizer）用户启用可信身份传播，请参阅《AWS 大数据博客》中的使用 IAM Identity Center 将身份提供者（IdP）与 Amazon Redshift 查询编辑器 V2 和 SQL 客户端集成以实现无缝单点登录。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

使用案例

Amazon Redshift 查询编辑器 V2